Эксперт в сфере информационной безопасности Энтони Феррара сообщил о том, как он в течение нескольких месяцев хотел заставить разработчиков WordPress устранить опасную уязвимость в данной системе. В результате Ферраре пришлось угрожать тем, что он публично раскроет всю информацию об ошибке и опубликует эксплоит.
Феррара утверждает, что попытка исправить уязвимость в WordPress, которая позволяет проводить SQL-инъекции, впервые была предпринята в версии 4.8.2, вышедшей в октябре. Специалист объясняет, что первоначально не он выявил проблему, которая может приводить к возникновению внезапных и небезопасных запросов, допускающих SQL-инъекции.
Попытка исправить ошибку в версии 4.8.2 привела к тому, что на большом количестве WordPress-ресурсов начались проблемы в механизме метрики. Патч внес нежелательные изменения в более чем 1200000 строк стороннего кода, а саму уязвимость так и не устранил.
Выявив проблемы в новой версии, Феррара связался с разработчиками WordPress, потратив при этом много сил и времени, чтобы убедить их, что эта опасная уязвимость является актуальной.
В результате эксперт был вынужден угрожать публикацией информации о проблеме, чтобы привлечь к ней внимание разработчиков.
После релиза WordPress 4.8.3 выяснилось, что в официальном бюллетене безопасности написано об отсутствии связи уязвимости с ядром системы управления контента. По словам разработчиков, ошибка относилась лишь к определенным плагинам и темам. Феррара уже опроверг это утверждение и заявил, что уязвимость находилась именно в ядре WordPress, а эксплоит, который он предоставил разработчикам, действовал именно против ядра.
Так или иначе, в версии 4.8.3 опасная ошибка была полностью исправлена, поэтому администраторам всех WordPress-сайтов необходимо срочно провести обновление системы.
